使用主控台執行查詢並儲存查詢結果

注意

介紹 CloudTrail Lake 查詢的預覽功能，該功能使用生成人工智慧 (生成 AI) 功能從英語提示中產生SQL查詢。如需詳細資訊，請參閱 從英文提示建立 CloudTrail 湖泊查詢。

選擇或儲存查詢後，您就可以對事件資料存放區執行查詢。

執行查詢時，您可以選擇將查詢結果儲存到 Amazon S3 儲存貯體。在 CloudTrail Lake 中執行查詢時，會根據查詢掃描的資料量產生費用。將查詢結果儲存到 S3 儲存貯體不會產生額外的 CloudTrail Lake 費用，不過需支付 S3 儲存費用。如需 S3 定價的詳細資訊，請參閱 Amazon S3 定價。

儲存查詢結果時，查詢結果可能會在 S3 儲存貯體中檢視之前顯示在 CloudTrail 主控台中，因為查詢掃描完成後會 CloudTrail 傳送查詢結果。雖然大多數查詢會在幾分鐘內完成，但視事件資料存放區的大小而定，將查詢結果傳遞 CloudTrail 到 S3 儲存貯體可能需要相當長的時間。 CloudTrail 以壓縮的 gzip 格式將查詢結果傳送至 S3 儲存貯體。平均而言，查詢掃描完成後，每傳遞 1 GB 的資料到 S3 儲存貯體，可能會有 60 到 90 秒的延遲。

使用 CloudTrail 湖泊執行查詢的步驟

1. 登入 AWS Management Console 並開啟 CloudTrail 主控台，位於https://console.aws.amazon.com/cloudtrail/。

2. 在導覽窗格中，選擇 Lake 下方的查詢。

3. 在已儲存的查詢或範例查詢索引標籤上，選擇查詢名稱以選擇要執行的查詢。

4. 在 Editor (編輯器) 索引標籤，針對 Event data store (事件資料存放區)，從下拉式清單中選擇事件資料存放區。

5. (選擇性) 在 Editor (編輯器) 索引標籤，選擇 Save results to S3 (將結果儲存至 S3)，將查詢結果儲存至 S3 儲存貯體。選擇預設 S3 儲存貯體時， CloudTrail 會建立並套用所需的儲存貯體政策。如果您選擇預設 S3 儲存貯體，您的IAM政策需要包含s3:PutEncryptionConfiguration動作的權限，因為預設情況下會為儲存貯體啟用伺服器端加密。如需有關儲存查詢結果的詳細資訊，請參閱已儲存查詢結果的其他相關資訊。

   注意

   若要使用不同的儲存貯體，請指定儲存貯體名稱，或選擇 Browse S3 (瀏覽 S3) 以選擇儲存貯體。值區政策必須授 CloudTrail 予將查詢結果傳遞給值區的權限。如需手動編輯儲存貯體政策的資訊，請參閱「 CloudTrail 湖泊查詢結果的 Amazon S3 儲存貯體政策」。

6. 在 Editor (編輯器) 標籤上，選擇 Run (執行)。

   根據事件資料存放區的大小及其中包含的資料天數，查詢可能需要幾分鐘才能執行。所以 Command output (命令輸出) 索引標籤會顯示查詢的狀態，以及查詢是否已完成執行。查詢完成執行後，開啟 Query results (查詢結果) 索引標籤查看作用中查詢 (目前編輯器中顯示的查詢) 的結果表格。

注意

執行時間超過一小時的查詢可能會逾時。您仍然可以取得在查詢逾時之前處理的部分結果。 CloudTrail 不會將部分查詢結果傳遞至 S3 儲存貯體。若要避免逾時，您可以透過指定較短的時間範圍來調整查詢，以限制掃描的資料量。

已儲存查詢結果的其他相關資訊

儲存查詢結果後，您可以從 S3 儲存貯體下載已儲存的查詢結果。如需有關尋找和下載已儲存查詢結果的詳細資訊，請參閱下載已儲存的查詢結果。

您也可以驗證已儲存的查詢結果，以判斷查詢結果在 CloudTrail 傳送查詢結果之後是否已修改、刪除或未變更查詢結果。如需有關驗證已儲存查詢結果的詳細資訊，請參閱驗證 CloudTrail 湖泊儲存的查詢結果。

範例：將查詢結果儲存至 Amazon S3 儲存貯體

本逐步解說說明如何將查詢結果儲存至 S3 儲存貯體，然後下載這些查詢結果。

若要將查詢結果儲存至 Amazon S3 儲存貯體

1. 登入 AWS Management Console 並開啟 CloudTrail 主控台，位於https://console.aws.amazon.com/cloudtrail/。

2. 在導覽窗格中，選擇 Lake 下方的查詢。

3. 在範例查詢或已儲存的查詢索引標籤上，選擇查詢名稱以選擇要執行的查詢。在此範例中，我們將選擇名為調查使用者動作的範例查詢。

4. 在 Editor (編輯器) 索引標籤，針對 Event data store (事件資料存放區)，從下拉式清單中選擇事件資料存放區。當您從清單中選擇事件資料倉庫時， CloudTrail 會自動在該From行中填入事件資料倉庫 ID。

5. 在此範例查詢中，我們將編輯 userIdentity.ARN 值以指定名為 Admin 的使用者，然後我們將保留 eventTime 的預設值。執行查詢時，您將為掃描的資料量支付費用。為了協助控制成本，我們建議您對查詢新增開始和結束 eventTime 時間戳記來限制查詢。

   

6. 選擇將結果儲存至 S3，以便將查詢結果儲存至 S3 儲存貯體。選擇預設 S3 儲存貯體時， CloudTrail 會建立並套用所需的儲存貯體政策。如果您選擇預設 S3 儲存貯體，您的IAM政策需要包含s3:PutEncryptionConfiguration動作的權限，因為預設情況下會為儲存貯體啟用伺服器端加密。在此範例中，我們使用預設的 S3 儲存貯體。

   注意

   若要使用不同的儲存貯體，請指定儲存貯體名稱，或選擇 Browse S3 (瀏覽 S3) 以選擇儲存貯體。值區政策必須授 CloudTrail 予將查詢結果傳遞給值區的權限。如需手動編輯儲存貯體政策的資訊，請參閱「 CloudTrail 湖泊查詢結果的 Amazon S3 儲存貯體政策」。

   

7. 選擇執行。根據事件資料存放區的大小及其中包含的資料天數，查詢可能需要幾分鐘才能執行。所以 Command output (命令輸出) 索引標籤會顯示查詢的狀態，以及查詢是否已完成執行。查詢完成執行後，開啟 Query results (查詢結果) 索引標籤查看作用中查詢 (目前編輯器中顯示的查詢) 的結果表格。

8. CloudTrail 完成將儲存的查詢結果交付到 S3 儲存貯體時，[交付狀態] 欄會提供 S3 儲存貯體的連結，該儲存貯體包含已儲存的查詢結果檔案，以及可用來驗證已儲存查詢結果的簽署檔案。選擇在 S3 中檢視，在 S3 儲存貯體中檢視查詢結果檔案和簽署檔案。

   注意

   當您儲存查詢結果時，查詢結果可能會在 S3 儲存貯體中檢視之前顯示在 CloudTrail 主控台中，因 CloudTrail 為查詢掃描完成後會傳送查詢結果。雖然大多數查詢會在幾分鐘內完成，但視事件資料存放區的大小而定，將查詢結果傳遞 CloudTrail 到 S3 儲存貯體可能需要相當長的時間。 CloudTrail 以壓縮的 gzip 格式將查詢結果傳送至 S3 儲存貯體。平均而言，查詢掃描完成後，每傳遞 1 GB 的資料到 S3 儲存貯體，可能會有 60 到 90 秒的延遲。

   

9. 若要下載您的查詢結果，選擇查詢結果檔案 (在此範例中為 result_1.csv.gz)，然後選擇下載。

   

如需有關驗證已儲存查詢結果的資訊，請參閱 驗證 CloudTrail 湖泊儲存的查詢結果。